有人知道在使用管理员帐户进行单向信任时如何使 Exchange Powershell 模块正常工作吗?Exchange 服务器位于 USER 域中,而管理帐户位于 BASTION 域中。USER 域信任 BASTION 域,但反之则不然(典型的单向信任)。Exchange Powershell 模块似乎存在用户不在同一域中的问题。我拥有 BASTION 域中用户所需的所有组权限。
要连接到我正在使用的 Exchange Powershell 模块:
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri "http://exchsrv0001.contoso.com/powershell" -Authentication Kerberos -Name "Exchange2016"
这会出现以下 Powershell 错误:
New-PSSession : [exch0001.contoso.com] Processing data from remote server exch0001.contoso.com failed with the following error message: [ClientAccessServer=exch0001,BackEndServer=exch0001.contoso.com,RequestId=7e00d1c3-6002-4d6d-a07b-cf6c51dd503e,TimeStamp=5/5/2021 2:51:35 PM]
[AuthZRequestId=9c7a24a7-0236-4de6-aa16-2cddec305b45][FailureCategory=AuthZ-CmdletAccessDeniedException] The operation couldn't be performed because 'BASTION\admuser' couldn't be found. For more information, see the about_Remote_Troubleshooting Help topic.
应用程序日志中的错误:
(Process w3wp.exe, PID 14720) "RBAC authorization returns Access Denied for user BASTION\admuser (SID=S-1-5-21-***-***-***-1167). Reason: User was not found on Domain Controller DC00002.contoso.com."
因此,看起来它只在自己的域中寻找用户,而忽略了信任和外部安全主体,因为我尝试将组织管理组转换为域本地并从 BASTION 域向其中添加成员,但没有成功。
答案1
由于远程计算机不在受信任域中,因此远程计算机可能无法验证您的凭据。请尝试将远程计算机添加到受信任主机列表中:
winrm s winrm/config/client '@{TrustedHosts="<RemoteComputer>"}'
检查以下关于受信任主机的类似线程程先生提到对你有帮助的:从其他域连接到 Exchange Powershell
或者你可以输入用户凭据而不是来自另一个域的凭据来连接到 Exchange 服务器 powershell:连接到远程 Exchange 服务器